Este documento describe el proceso para configurar las reglas de acceso del plano de control para Secure Firewall Threat Defense y Adaptive Security Appliance (ASA).
Cisco recomienda que tenga conocimiento sobre estos temas:
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.
El tráfico generalmente atraviesa un firewall y se rutea entre interfaces de datos; en algunas circunstancias, es beneficioso denegar el tráfico destinado "a" el firewall seguro. El firewall seguro de Cisco puede utilizar una lista de control de acceso (ACL) del plano de control para restringir el tráfico "listo para usar". Un ejemplo de cuándo una ACL del plano de control puede ser útil para controlar qué peers pueden establecer un túnel VPN (VPN de sitio a sitio o de acceso remoto) al firewall seguro.
El tráfico normalmente atraviesa los firewalls de una interfaz (entrante) a otra interfaz (saliente), lo que se conoce como tráfico "por módulos" y se gestiona mediante las políticas de control de acceso (ACP) y las reglas de prefiltrado.
Imagen 1. Ejemplo de tráfico a través de la caja
Hay otros casos en los que el tráfico está destinado directamente a una interfaz FTD (VPN de sitio a sitio o de acceso remoto), esto se conoce como tráfico directo y lo gestiona el plano de control de esa interfaz específica.
Imagen 2. Ejemplo de tráfico To-the-boxEn el siguiente ejemplo, un conjunto de direcciones IP de un país determinado intenta forzar brutalmente a través de VPN en la red al intentar iniciar sesión en el RAVPN FTD. La mejor opción para proteger el FTD contra estos ataques de fuerza bruta VPN es configurar una ACL de plano de control para bloquear estas conexiones a la interfaz FTD externa.
Este es el procedimiento que debe seguir en un FMC para configurar una ACL del plano de control para bloquear los ataques de fuerza bruta de VPN entrantes a una interfaz FTD externa:
Paso 1. Abra la interfaz gráfica de usuario (GUI) de FMC a través de HTTPS e inicie sesión con sus credenciales:
Imagen 3. Página de inicio de sesión de FMC
Paso 2. Debe crear una ACL extendida. Para esto, navegue hasta Objetos > Administración de objetos:
Imagen 4. Gestión de objetos
Paso 2.1. Desde el panel izquierdo, navegue hasta Lista de acceso > Extendida para crear una ACL extendida:
Imagen 5. Menú ACL extendido
Paso 2.2. Seleccione Agregar lista de acceso ampliada:
Imagen 6. Agregar ACL extendida
Paso 2.3. Escriba un nombre para la ACL extendida y, a continuación, haga clic en el botón Agregar para crear una entrada de control de acceso (ACE):
Imagen 7. Entradas de ACL extendidas
Paso 2.4. Cambie la acción ACE a Block y agregue la red de origen para que coincida con el tráfico que debe ser denegado al FTD, mantenga la red de destino como Any y haga clic en el botón Add para completar la entrada ACE.
En este ejemplo, la entrada ACE configurada bloquea los ataques de fuerza bruta VPN que provienen de la subred 192.168.1.0/24:
Imagen 8. Redes denegadas
Paso 2.5. Si necesita agregar más entradas ACE, haga clic en el botón Add nuevamente y repita el paso 2.4. Después de esto, haga clic en el botón Save para completar la configuración ACL:
Imagen 9. Entradas de ACL extendidas completadas
Paso 3. A continuación, debe configurar un objeto Flex-Config para aplicar la ACL del plano de control a la interfaz FTD externa. Vaya al panel izquierdo y seleccione la opción FlexConfig > Objeto FlexConfig.
Imagen 10. Menú Objeto FlexConfig
Paso 3.1. Haga clic en Agregar objeto FlexConfig:
Imagen 11. Agregar objeto Flexconfig
Paso 3.2. Agregue un nombre para el objeto FlexConfig e inserte un objeto de política ACL. Seleccione Insert > Insert Policy Object > Extended ACL Object:
Imagen 12. Variable de objeto FlexConfig
Paso 3.3. Agregue un nombre para la variable de objeto ACL y seleccione la ACL extendida que se creó en el Paso 2.3, Haga clic en el botón Guardar:
Imagen 13. Asignación de ACL de variable de objeto FlexConfig
Paso 3.4. Configure la ACL del plano de control como entrante para la interfaz externa.
Sintaxis de la línea de comandos:
access-group "variable name starting with $ symbol" in interface "interface-name" control-plane
Esto se traduce en el siguiente ejemplo de comando, que utiliza la variable ACL creada en el Paso 2.3 VAR-ACL-UNWANTED-COUNTRY:
access-group $VAR-ACL-UNWANTED-COUNTRY in interface outside control-plane
Así es como debe configurar la ventana de objetos de FlexConfig; después de esto, seleccione el botón Save para completar el objeto FlexConfig:
Imagen 14. Línea de comandos completa de Flexconfig Object
Paso 4. Debe aplicar la configuración del objeto FlexConfig al FTD, navegue hasta Dispositivos > FlexConfig:
Imagen 15. Menú Política de FlexConfig
Paso 4.1. Haga clic en Nueva política, si no hay una FlexConfig creada para su FTD, edite la política FlexConfig existente:
Imagen 16. Creación de la política FlexConfig
Paso 4.2. Agregue un nombre para la nueva política FlexConfig y seleccione el FTD al que desea aplicar la ACL del plano de control creada:
Imagen 17. Asignación de dispositivo de política FlexConfig
Paso 4.3. En el panel izquierdo, busque el objeto FlexConfig creado en el paso 3.2 y, a continuación, agréguelo a la directiva FlexConfig haciendo clic en la flecha derecha situada en el centro de la ventana. A continuación, haga clic en el botón Save:
Imagen 18. Asignación de objeto de política FlexConfig
Paso 5. Continúe con la implementación del cambio de configuración del FTD navegando hasta Deploy > Advanced Deploy:
Imagen 19. Implementación avanzada de FTD
Paso 5.1. Seleccione el FTD al que desea aplicar la política FlexConfig. Si todo está correcto, haga clic en Deploy:
Imagen 20. Validación de implementación de FTD
Paso 5.2. A continuación, se muestra una ventana de confirmación de despliegue, añada un comentario para realizar un seguimiento del despliegue y continúe con el despliegue:
Imagen 21. Comentarios sobre la implementación de FTD
Paso 5.3. Puede aparecer un mensaje de advertencia al implementar los cambios de FlexConfig. Haga clic en Deploy only si está completamente seguro de que la configuración de la política es correcta:
Imagen 22. Advertencia Flexconfig de implementación de FTD
Paso 5.4. Confirme que la implementación de la política es exitosa para el FTD:
Imagen 23. Implementación correcta de FTD
Paso 6. Si crea una nueva ACL de plano de control para su FTD o si editó una existente que está en uso activamente, es importante resaltar los cambios de configuración realizados. Estas no se aplican a las conexiones ya establecidas al FTD. Debe borrar manualmente los intentos de conexión activos al FTD, conectarse a la CLI del FTD y borrar las conexiones activas.
Para borrar la conexión activa para una dirección IP de host específica:
> clear conn address 192.168.1.10 all
Para borrar las conexiones activas para una red de subred completa:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para borrar las conexiones activas para un rango de direcciones IP:
> clear conn address 192.168.1.1-192.168.1.10 all
Este es el procedimiento que debe seguir con un FDM para configurar una ACL del plano de control para bloquear los ataques de fuerza bruta de VPN entrantes a la interfaz FTD externa:
Paso 1. Abra la GUI de FDM mediante HTTPS e inicie sesión con sus credenciales:
Imagen 24. Página de inicio de sesión de FDM
Paso 2. Debe crear una red de objetos. Vaya a Objetos:
Imagen 25. Panel principal de FDM
Paso 2.1. En el panel izquierdo, seleccione Redes y, a continuación, haga clic en el botón '+' para crear un nuevo objeto de red:
Imagen 26. Creación de objetos
Paso 2.2. Agregue un nombre para el objeto de red, seleccione el tipo de red para el objeto, agregue la dirección IP, la dirección de red o el rango de direcciones IP para que coincidan con el tráfico que se debe denegar al FTD. A continuación, haga clic en el botón Ok para completar la red de objetos.
En este ejemplo, la red de objetos configurada está diseñada para bloquear los ataques de fuerza bruta de VPN que provienen de la subred 192.168.1.0/24:
Imagen 27. Agregar objeto de red
Paso 3. Luego, debe crear una ACL extendida y luego navegar a la pestaña Device en el menú superior:
Imagen 28. Página Configuración del dispositivo
Paso 3.1. Desplácese hacia abajo y seleccione View Configuration (Ver configuración) en el cuadro Advanced Configuration (Configuración avanzada), como se muestra en la imagen:
Imagen 29. Configuración avanzada de FDM
Paso 3.2. Luego, desde el panel izquierdo, navegue hasta CLI inteligente > Objetos y haga clic en CREAR OBJETO CLI INTELIGENTE.
Imagen 30. Objetos CLI inteligentes
Paso 3.3. Agregue un nombre para la ACL extendida. Para crear, seleccione Extended Access List en el menú desplegable de la plantilla CLI, y configure las ACE requeridas mediante el objeto de red creado en el Paso 2.2. Luego, haga clic en el botón OK para completar la ACL:
Imagen 31. Creación de ACL ampliada
Paso 4. A continuación, debe crear un objeto FlexConfig, desplazarse hasta el panel izquierdo y seleccionar FlexConfig > Objetos FlexConfig y, a continuación, hacer clic en CREAR OBJETO FLEXCONFIG:
,
Imagen 32. Objetos FlexConfig
Paso 4.1. Agregue un nombre para el objeto FlexConfig para crear y configurar la ACL del plano de control como entrante para la interfaz externa.
Sintaxis de la línea de comandos:
access-group "ACL-name" in interface "interface-name" control-plane
Esto se traduce en el siguiente ejemplo de comando, que utiliza la ACL extendida creada en el Paso 3.3 ACL-UNWANTED-COUNTRY:
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Así se puede configurar en la ventana de objetos de FlexConfig. Seleccione el botón OK para completar el objeto FlexConfig:
Imagen 3. Creación del objeto FlexConfig
Paso 5. Proceda a crear una política FlexConfig. Navegue hasta Flexconfig > FlexConfig Policy, haga clic en el botón "+" y seleccione el objeto FlexConfig que se creó en el Paso 4.1:
Imagen 34. Política FlexConfig
Paso 5.1. Validar la vista previa de FlexConfig muestra la configuración correcta para la ACL del plano de control creada y haga clic en el botón Guardar:
Imagen 35. Vista previa de la política FlexConfig
Paso 6. Implemente los cambios de configuración en el FTD que desea proteger contra los ataques de fuerza bruta de VPN. A continuación, haga clic en el botón Deployment en el menú superior y confirme que los cambios de configuración para implementar son correctos, y haga clic en DEPLOY NOW:
Imagen 36. Implementación pendiente
Paso 6.1. Validar que la implementación de la política se realice correctamente:
Imagen 37. Implementación correcta
Paso 7. Si crea una nueva ACL de plano de control para su FTD o si editó una existente que está en uso activamente, es importante resaltar los cambios de configuración realizados. Estas no se aplican a las conexiones ya establecidas al FTD. Debe borrar manualmente los intentos de conexión activos al FTD, conectarse a la CLI del FTD y borrar las conexiones activas.
Para borrar la conexión activa para una dirección IP de host específica:
> clear conn address 192.168.1.10 all
Para borrar las conexiones activas para una red de subred completa:
> clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para borrar las conexiones activas para un rango de direcciones IP:
> clear conn address 192.168.1.1-192.168.1.10 all
Este es el procedimiento que debe seguir con una CLI ASA, esto es, configurar una ACL de plano de control para bloquear los ataques de fuerza bruta de VPN entrante a la interfaz externa:
Paso 1. Inicie sesión en el firewall ASA seguro a través de CLI y obtenga acceso al comando configure terminal.
asa# configure terminal
Paso 2. Ejecute el siguiente comando para configurar una ACL extendida, esto bloquea una IP de host o dirección de red para el tráfico que debe bloquearse en el ASA.
En este ejemplo, crea una nueva ACL llamada ACL-UNWANTED-COUNTRY y la entrada ACE configurada bloquea los ataques de fuerza bruta VPN que provienen de la subred 192.168.1.0/24:
asa(config)# access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
Paso 3. Ejecute el siguiente comando access-group para configurar ACL-UNWANTED-COUNTRY ACL como ACL del plano de control para la interfaz externa de ASA:
asa(config)# access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Paso 4. Si crea una nueva ACL del plano de control o si editó una existente que está en uso activamente, es importante resaltar los cambios de configuración realizados. Éstas no se aplican a las conexiones ya establecidas al ASA, debe borrar manualmente los intentos de conexión activos al ASA y borrar las conexiones activas.
Para borrar la conexión activa para una dirección IP de host específica:
asa# clear conn address 192.168.1.10 all
Para borrar las conexiones activas para una red de subred completa:
asa# clear conn address 192.168.1.0 netmask 255.255.255.0 all
Para borrar las conexiones activas para un rango de direcciones IP:
asa# clear conn address 192.168.1.1-192.168.1.10 all
Para ataques de bloqueo inmediatos para el firewall seguro, puede ejecutar el comando shun. El comando shun permite bloquear las conexiones de un host atacante y revisar más detalles sobre el comando shun:
Sintaxis del comando Shun:
shun source_ip [ dest_ip source_port dest_port [ protocol]] [ vlan vlan_id]
Para inhabilitar un shun, ejecute la forma no de este comando:
no shun source_ip [ vlan vlan_id]
Para evitar una dirección IP de host, continúe con este ejemplo para el firewall seguro. En este ejemplo, el comando shun se utiliza para bloquear los ataques de fuerza bruta VPN que provienen de la dirección IP de origen 192.168.1.10.
Paso 1. Inicie sesión en el FTD a través de CLI y ejecute el comando shun:
> shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Paso 2. Puede ejecutar los comandos show para confirmar las direcciones IP rechazadas en el FTD y para monitorear los recuentos de aciertos rechazados por dirección IP:
> show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
> show shun statistics diagnostic=OFF, cnt=0 outside=ON, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:00:28)
Paso 1. Inicie sesión en ASA a través de CLI y aplique el comando shun:
asa# shun 192.168.1.10
Shun 192.168.1.10 added in context: single_vf
Shun 192.168.1.10 successful
Paso 2. Puede ejecutar los comandos show para confirmar las direcciones IP rechazadas en el ASA y para monitorear los recuentos de aciertos rechazados por dirección IP:
asa# show shun shun (outside) 192.168.1.10 0.0.0.0 0 0 0
asa# show shun statistics outside=ON, cnt=0 inside=OFF, cnt=0 dmz=OFF, cnt=0 outside1=OFF, cnt=0 mgmt=OFF, cnt=0 Shun 192.168.1.10 cnt=0, time=(0:01:39)
Para confirmar que la configuración ACL del plano de control está en su lugar para el firewall seguro, continúe con estos pasos:
Paso 1. Inicie sesión en el firewall seguro a través de CLI y ejecute los siguientes comandos para confirmar que se ha aplicado la configuración de ACL del plano de control.
Ejemplo de salida del FTD gestionado por el CSP:
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Ejemplo de salida para el FTD gestionado por FDM:
> show running-config object id OBJ-NET-UNWANTED-COUNTRY
object network OBJ-NET-UNWANTED-COUNTRY
subnet 192.168.1.0 255.255.255.0
> show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any4 log default
> show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Ejemplo de salida para ASA:
asa# show running-config access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY extended deny ip 192.168.1.0 255.255.255.0 any
asa# show running-config access-group
***OUTPUT OMITTED FOR BREVITY***
access-group ACL-UNWANTED-COUNTRY in interface outside control-plane
Paso 2. Para confirmar que la ACL del plano de control está bloqueando el tráfico requerido, ejecute el comando packet-tracer para simular una conexión TCP 443 entrante a la interfaz externa del firewall seguro. Luego, ejecute el comando show access-list <acl-name> , el conteo de aciertos ACL puede incrementarse cada vez que una conexión de fuerza bruta VPN al firewall seguro es bloqueada por la ACL del plano de control.
En este ejemplo, el comando packet-tracer simula una conexión TCP 443 entrante originada en el host 192.168.1.10 y destinada a la dirección IP externa del firewall seguro. El resultado de packet-tracer confirma que el tráfico se está descartando y el resultado de show access-list muestra los incrementos de conteo de aciertos para la ACL del plano de control en su lugar:
Ejemplo de salida para FTD
> packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.251 443 Phase: 1 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 21700 ns Config: Additional Information: Result: input-interface: outside(vrfid:0) input-status: up input-line-status: up Action: drop Time Taken: 21700 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x00005623c7f324e7 flow (NA)/NA
> show access-list ACL-UNWANTED-COUNTRY
access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f
access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x142f69bf
asa# packet-tracer input outside tcp 192.168.1.10 1234 10.3.3.5 443 Phase: 1 Type: ACCESS-LIST Subtype: Result: ALLOW Elapsed time: 19688 ns Config: Implicit Rule Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: log Result: DROP Elapsed time: 17833 ns Config: Additional Information: Result: input-interface: outside input-status: up input-line-status: up Action: drop Time Taken: 37521 ns Drop-reason: (acl-drop) Flow is denied by configured rule, Drop-location: frame 0x0000556e6808cac8 flow (NA)/NA asa# show access-list ACL-UNWANTED-COUNTRY access-list ACL-UNWANTED-COUNTRY; 1 elements; name hash: 0x42732b1f access-list ACL-UNWANTED-COUNTRY line 1 extended deny ip 192.168.1.0 255.255.255.0 any (hitcnt=1) 0x9b4d26ac
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
3.0 |
01-Jul-2026
|
Texto alternativo actualizado, ortografía, gramática, estructura de oraciones, espaciado y alertas de CCW. |
2.0 |
10-Apr-2025
|
Formato, texto alternativo, encabezados fijos, lenguaje DEI |
1.0 |
21-Dec-2023
|
Versión inicial |